Gizlilik Politikası

Gizlilik Politikası

Son güncelleme tarihi: 19 Mayıs 2026  |  Sürüm: 2.0


1. Veri Sorumlusu

İşbu Gizlilik Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamında WOX Teknoloji Yazılım Anonim Şirketi ("WOX Teknoloji", "Şirket", "biz") tarafından sunulan internet sitesi ve TourMAX dahil tüm hizmetler ("Hizmetler") aracılığıyla işlenen kişisel verilere ilişkin şeffaflık yükümlülüğünü yerine getirmek üzere hazırlanmıştır.

Veri Sorumlusu Bilgileri:
Ünvan: WOX Teknoloji Yazılım Anonim Şirketi
Adres: 10032 Sok. No: 2 İTOB OSB Menderes / İZMİR
Telefon: 0 (850) 533 0 383
E-posta: [email protected]
KEP: [email protected]
Veri Koruma İletişim Noktası: [email protected]


2. Toplanan Kişisel Veri Kategorileri

Hizmetlerimizi kullandığınızda, sizi tanımlayabilen veya tanımlanabilir kılan aşağıdaki veri kategorilerini işliyoruz:

  • Kimlik bilgileri: Ad, soyad, T.C. kimlik numarası (yalnızca sözleşme ve fatura için), doğum tarihi.
  • İletişim bilgileri: Telefon (E.164 formatlı), e-posta, posta adresi, faks.
  • Müşteri işlem bilgileri: Sipariş ve fatura kayıtları, hizmet kullanım talepleri, talep/şikayet kayıtları.
  • Finansal bilgiler: Banka hesap bilgileri, ödeme yöntemi, fatura bilgileri (kredi kartı bilgisi WOX tarafından SAKLANMAZ — PCI-DSS uyumlu ödeme sağlayıcı işler).
  • Hizmet kullanım bilgileri: IP adresi, oturum çerezleri, tarayıcı türü, cihaz bilgisi, log kayıtları, ziyaret edilen sayfalar, etkileşim verileri.
  • İletişim içerik bilgileri: WhatsApp, Instagram, Facebook Messenger üzerinden TourMAX platformu aracılığıyla son tüketici (müşterinizin müşterisi) ile değiş tokuş ettiğiniz mesaj içerikleri, ses kayıtları, dosyalar, görseller, video, konum bilgileri ve reaksiyonlar.
  • Pazarlama bilgileri: E-posta bülteni üyelik tercihi, iletişim izinleri, açık rıza kayıtları.
  • Çerez ve takip teknolojileri: Oturum çerezleri, analitik çerezler (Google Analytics), pazarlama çerezleri, üçüncü taraf piksel verileri.

3. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

  • Hizmetlerin sunulması, yönetilmesi ve geliştirilmesi.
  • Sözleşme süreçlerinin yürütülmesi (üyelik, abonelik, fatura, ödeme).
  • Müşteri destek taleplerinin karşılanması.
  • Yasal yükümlülüklerin yerine getirilmesi (Vergi Usul Kanunu, KVKK, TTK, e-Fatura mevzuatı).
  • Suistimal ve dolandırıcılık tespiti, bilgi güvenliği sağlanması.
  • İstatistiksel analiz, ürün ve hizmet iyileştirme.
  • Açık rıza vermeniz halinde pazarlama ve bilgilendirme iletişimi.
  • WhatsApp Business Solution Provider sıfatımız çerçevesinde Meta Platforms Inc. ile mesaj iletim altyapısının sağlanması.

4. İşlemenin Hukuki Dayanakları (KVKK m.5 / GDPR Art. 6)

Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenir:

  • Açık rıza (KVKK m.5/1) — pazarlama iletileri, çerezler, yurt dışı veri aktarımı.
  • Sözleşmenin ifası (KVKK m.5/2-c) — abonelik, fatura, hizmet kullanımı.
  • Yasal yükümlülük (KVKK m.5/2-ç) — Vergi, e-Fatura, KVKK, MASAK mevzuatı.
  • Bir hakkın tesisi/korunması (KVKK m.5/2-e) — Hukuki ihtilaf, alacak takibi.
  • Meşru menfaat (KVKK m.5/2-f) — Sistem güvenliği, suistimal tespiti, iş geliştirme analitiği.

5. Kişisel Verilerin Aktarıldığı Taraflar

Kişisel verileriniz, işleme amaçlarıyla sınırlı olarak aşağıdaki taraflara aktarılabilir:

  • Yurt içi: Mali müşavir/SMMM, yeminli mali müşavir, hukuk müşaviri, e-Fatura entegratörü, ödeme kuruluşları (iyzico, Param, Stripe TR), SMS/IVR sağlayıcıları, KEP sağlayıcısı, yetkili kamu kurum ve kuruluşları (talep halinde).
  • Yurt dışı (Meta Platforms Inc. ve iştirakleri): WhatsApp Business Cloud API, Instagram Graph API ve Facebook Messenger entegrasyonu kapsamında, kullanıcı mesaj içerikleri ve meta verileri Meta Platforms Inc. (ABD merkezli) sunucularına aktarılır. Meta, mesaj transit aşamasında end-to-end encryption (WhatsApp için) uygular ve ABD/AB bölgelerindeki veri merkezlerinde işler.
  • Yurt dışı (altyapı sağlayıcıları): Bulut sunucu (Türkiye merkezli cPanel hosting + AB/Frankfurt bölgesi object storage), CDN ve e-posta gönderim altyapısı.
  • Yurt dışı (analitik): Google Analytics (ABD/AB), açık rıza ile.

6. Yurt Dışı Aktarım (KVKK m.9 / GDPR Chapter V)

Meta Platforms Inc. ve diğer ABD merkezli teknoloji sağlayıcılara yapılacak veri aktarımları, KVKK m.9 uyarınca açık rızanız alınarak gerçekleştirilir. Açık rızanız olmaksızın, KVKK Kurulu'nca onaylanmış standart sözleşme veya bağlayıcı kurumsal kurallar kapsamında aktarım yapılır. GDPR kapsamında, aktarımlar Standard Contractual Clauses (SCC) çerçevesinde gerçekleşir.

Açık rıza vermemeyi tercih ettiğiniz takdirde, WhatsApp/Instagram/Facebook üzerinden iletişim hizmetlerimizden yararlanamayacağınızı belirtmek isteriz.


7. WhatsApp / Instagram / Facebook Aracılığıyla İşleme (Tech Provider Bildirimi)

WOX Teknoloji, Meta Platforms Inc. tarafından onaylanmış bir WhatsApp Business Solution Provider (Tech Provider)'dır. Bu sıfatla, müşterilerimizin (acente, otel, tur operatörü) kendi son tüketicileri ile yürüttüğü iletişim trafiği için Meta'nın Cloud API'leri ile entegrasyon sağlarız.

Bu kapsamda:

  • WOX Teknoloji "Veri İşleyici" sıfatıyla hareket eder; müşterimiz (TourMAX kullanıcısı) "Veri Sorumlusu"dur.
  • Mesaj içerikleri, son tüketicinin müşterimize gönderdiği taleplere yanıt verme amacıyla işlenir; başka amaçla kullanılmaz, üçüncü taraflara satılmaz, profil oluşturulmaz.
  • WhatsApp mesajları Meta'nın altyapısında end-to-end encryption ile iletilir.
  • Meta Platforms Inc. ile aramızdaki ilişki, Meta WhatsApp Business Solution Terms ve Meta Platform Terms ile yönetilir.
  • Son tüketici (mesaj gönderen müşteri) bu iletişimin TourMAX platformu üzerinden yönetildiğinden Meta'nın WhatsApp uygulaması içerisinde açıkça bilgilendirilir.

8. Veri Saklama Süreleri

Kişisel verileriniz işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatın öngördüğü süreler kadar saklanır:

  • Üyelik / sözleşme verileri: Üyelik sona erdikten sonra 10 yıl (TTK m.82, BK m.146 zamanaşımı).
  • Fatura ve mali kayıtlar: 10 yıl (VUK m.253).
  • Sosyal mesajlaşma (WhatsApp/IG/FB) içerikleri: 3 yıl (varsayılan; müşteri ayarlarına göre kısaltılabilir).
  • Webhook ham verileri ve sistem logları: 90 gün.
  • Audit log / işlem kayıtları: 5 yıl (KVKK denetim gereği).
  • Çerez verileri: Çerez türüne göre 24 saat – 24 ay (Çerez Politikası bölümüne bakınız).
  • Pazarlama iletişim izinleri: Geri çekilene kadar; geri çekildikten sonra kanıt amacıyla 3 yıl.
  • "Unutulma hakkı" talepleri: 30 gün içinde işlenir; hukuki yükümlülük olmayan veriler anonimleştirilir veya silinir.

9. Veri Güvenliği Önlemleri

Kişisel verilerinizi korumak için aşağıdaki teknik ve idari önlemleri uygularız:

  • TLS 1.2+ ile şifreli iletişim (HTTPS).
  • Veritabanı erişiminde rol bazlı yetkilendirme ve audit log.
  • Hassas alanlar (Meta token, ödeme bilgileri) AES-256-GCM ile şifrelenir.
  • Erişim için iki faktörlü kimlik doğrulama (2FA), oturum süresi sınırı.
  • Webhook'larda HMAC SHA-256 imza doğrulama.
  • Düzenli güvenlik denetimi, zafiyet taraması, sızma testi.
  • Personele yıllık KVKK ve bilgi güvenliği eğitimi.
  • Olay yönetimi ve veri ihlali bildirim prosedürü (KVKK Kurulu'na 72 saat içinde bildirim).

10. Çerez Politikası (Özet)

İnternet sitemizde aşağıdaki çerez türleri kullanılır:

  • Zorunlu çerezler: Site temel işlevleri için (oturum, güvenlik). Açık rıza gerekmez.
  • Performans/analitik çerezler: Google Analytics. Açık rıza ile.
  • Pazarlama çerezleri: Yeniden hedefleme. Açık rıza ile.
  • Fonksiyonel çerezler: Dil tercihi, tema. Açık rıza ile.

Çerez tercihlerinizi tarayıcı ayarlarınızdan veya sitede yer alan çerez bildirim banner'ından yönetebilirsiniz.


11. 18 Yaş Altı Verileri

Hizmetlerimiz yalnızca 18 yaşını doldurmuş kişilere yöneliktir. 18 yaş altı bireylerden bilerek kişisel veri toplamayız. Bu yaş grubuna ait veri tespit ettiğimizde derhal sileriz.


12. Veri Sahibinin Hakları (KVKK m.11 / GDPR Art. 15-22)

Veri sahibi olarak aşağıdaki haklara sahipsiniz:

  • (a) Kişisel verilerinizin işlenip işlenmediğini öğrenme.
  • (b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme.
  • (c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
  • (ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme.
  • (d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme.
  • (e) Kişisel verilerinizin silinmesini veya yok edilmesini isteme (KVKK m.7 ve "Unutulma Hakkı").
  • (f) (d) ve (e) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
  • (g) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç doğmasına itiraz etme.
  • (ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme.
  • (h) GDPR kapsamında: Veri taşınabilirliği hakkı (data portability), işlemenin kısıtlanması hakkı (restriction).

13. Başvuru ve İletişim

Haklarınızı kullanmak için "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca aşağıdaki yollarla bizimle iletişime geçebilirsiniz:

Başvurularınız KVKK m.13 uyarınca en geç 30 gün içinde sonuçlandırılır. Başvuru ücretsizdir; ancak işlem ek bir maliyet gerektiriyorsa KVKK Kurulu'nca belirlenen tarife uygulanır.


14. KVKK Kurulu'na Şikayet Hakkı

Başvurunuzun reddedilmesi, verilen cevabı yetersiz bulmanız veya 30 gün içinde cevap verilmemesi halinde, KVKK Kurulu'na şikayette bulunma hakkına sahipsiniz: www.kvkk.gov.tr


15. Politikanın Güncellenmesi

WOX Teknoloji, mevzuat değişiklikleri, hizmet kapsamının değişmesi veya hukuki gereklilikler doğrultusunda işbu Gizlilik Politikası'nı güncelleme hakkını saklı tutar. Esaslı değişikliklerde, kayıtlı e-posta adresinize bildirim yapılır. Güncel sürüm her zaman bu sayfada yayında olacaktır.



Bu Gizlilik Politikası 19 Mayıs 2026 tarihinde yayınlanmıştır ve aynı tarih itibarıyla yürürlüğe girmiştir.